In den einschlägigen Vorschriften der Schiffsklassifizierungsbehörden werden die zum Betrieb eines Schiffs notwendigen Systeme anhand ihrer Funktion und Wichtigkeit in die Kategorien Essential, Important, Emergency und Non-Important unterteilt. Bereits an der Namensgebung lässt sich unschwer erkennen, dass die in den ersten drei Kategorien aufgelisteten Systeme zur Aufrechterhaltung des Schiffsbetriebs sowie für die Sicherheit an Bord unerlässlich sind. Unter Essential Services fallen sämtliche Systeme, welche die Manövrierbarkeit des Schiffs sicherstellen. Die Kategorie Important umfasst Systeme, die zwar nicht im direkten Zusammenhang mit der Manövrierbarkeit des Schiffs stehen, aber trotzdem für eine wichtige Funktion auf dem Schiff zuständig sind. Dabei kann es sich z.B. um Feuerlöschsysteme handeln.
In puncto technische Verfügbarkeit dieser Systeme gilt generell folgende Regel: Der Ausfall einer einzelnen Komponente darf nicht zum Ausfall einer wesentlichen Funktion auf dem Schiff führen. Für die Automatisierungstechnik, die zur Steuerung und Überwachung dieser Systeme verantwortlich ist, resultiert daraus der Einsatz redundanter Steuerungs- und Netzwerktopologien. In diesem Zusammenhang wird von hochverfügbaren Systemen gesprochen, deren spezieller Aufbau dafür Sorge trägt, dass das System beispielsweise beim Ausfall der Steuerung oder einer Netzwerkleitung auf die intakte, redundant ausgeführte Komponente umschaltet, um so den Ausfall des Systems zu verhindern.
Bislang meist proprietäre Konzepte
In der maritimen Automatisierungswelt erweist sich diese Anforderung nicht als neu. Es gibt eine Reihe von Systemanbietern, die solche fehlertoleranten Systeme zur Verfügung stellen. Meist basieren die zum Aufbau einer Redundanz erforderlichen Erweiterungen der Kommunikationsprotokolle auf teils proprietären Mechanismen. Phoenix Contact bietet seit rund 15 Jahren ebenfalls ein Redundanzkonzept auf der Grundlage des klassischen Steuerungsportfolios an. In dieser Lösung wird im Kommunikations-Stack der Feldgeräte eine proprietäre Erweiterung vorgenommen, damit die Daten parallel zwischen den I/O-Stationen und den redundant ausgelegten Steuerungen übertragen werden können. In der Praxis verrichtet eine Vielzahl dieser Systeme ihren Dienst ordnungsgemäß und hat sich bewährt. Möchte ein Systemintegrator jedoch ein Feldgerät eines anderen Herstellers – etwa eine I/O-Station oder einen Frequenzumrichter – in das Netzwerk integrieren, ist dies lediglich bedingt oder überhaupt nicht möglich.
Bei der Implementierung der Redundanzfunktion in die neueste Steuerungsgeneration auf Basis der PLCnext-Technology hat der Hersteller daher die oberste Priorität auf die Verwendung offener und für jeden Gerätehersteller zugänglicher Industriestandards gelegt. Als Ergebnis beruht die sogenannte applikative Systemredundanz (ASR) auf mehreren generischen Kernelementen, welche die Redundanzfunktion in den verschiedenen Kommunikationsebenen einer Automatisierungslösung abbilden.
Nutzung der ProfinetRedundanzmechanismen SRL und MRP
Das erste Kernelement, bei welchem der Redundanzmechanismus der Profinet-S2-Systemredundanz Anwendung findet, ist für den Datenaustausch zwischen I/O-Stationen und den redundant ausgeführten Steuerungen zuständig. Bei der Profinet-S2-Systemredundanz (SRL) bauen beiden SPS eine logische Kommunikationsbeziehung (AR) zur I/O-Station (Device) auf. Die I/O-Station versendet die Eingangsdaten parallel an beide Steuerungen und stellt somit für die SPS das identische Prozessdatenabbild bereit. Im Gegenzug übermitteln beide Steuerungen ihre Ausgangsdaten, versehen mit der momentanen Redundanzrolle – Primary oder Backup -, an die I/O-Station, wobei diese nur die Primary-Daten an die Ausgangsmodule weiterleitet. Tritt in der aktuellen Primary-SPS ein Problem auf, werden die Redundanzrollen getauscht und die I/O-Station übernimmt jetzt die Ausgangsdaten der Backup-Steuerung. Die Überwachung der beiden SPS untereinander sowie das Aushandeln der Redundanzrolle verantwortet ein Funktionsbaustein im Applikationsprogramm. Über weitere Funktionsbausteine lassen sich auch Werte von programminternen Variablen synchronisieren.
Um sicherzustellen, dass alle genutzten Feldgeräte die Profinet-S2-Systemredundanz in geeigneter Form unterstützen, überprüft die Programmiersoftware PLCnext Engineer die notwendigen Attribute in der Gerätebeschreibungsdatei schon in der Projektierungsphase. Neben dieser logischen Kommunikationsbeziehung SRL sorgt das zweite Kernelement, das Medienredundanz-Protokoll (MRP), für die Redundanz auf der physikalischen Netzwerkebene. Bei MRP wird das Netzwerk als einfache Ringstruktur ausgeprägt. Sind sämtliche Netzwerkverbindungen intakt, ist einer der beiden Ethernet-Ports am MRP-Manager geblockt und die betroffene Netzwerkverbindung folglich nicht aktiv. Der MRP-Manager erkennt den Ausfall einer beliebigen Netzwerkleitung innerhalb der Ringstruktur. In diesem Fall gibt er den blockierten Port frei und stellt damit sicher, dass alle Netzwerkteilnehmer weiterhin die an sie gerichteten Datentelegramme erhalten. Beide Profinet-Redundanzmechanismen – SRL und MRP – sind Teil der Profinet-Spezifikation und werden bei der Gerätezertifizierung getestet.
Betrieb in getrennten Profinet- und OPC-UA-Netzwerken
Das dritte Kernelement der ASR bezieht sich auf den Datenaustausch zwischen den redundanten Steuerungen und Visualisierungsgeräten. Als Übertragungsprotokoll wird OPC UA verwendet, das sich im industriellen Umfeld zur vertikalen Kommunikation zwischen Steuerung und Visualisierung etabliert hat. OPC UA ist unabhängig von Betriebssystemen und lässt sich auf unterschiedlich performante Geräte adaptieren – von kompakten Touch Panels bis zu großen Scada-Netzwerken. Die Visualisierungsgeräte werden über einen Softwareschalter im OPC UA Client der Visualisierungssoftware an die beiden redundanten Steuerungen angekoppelt.